Wir haben einen dedizierten Server bei einem Hosting-Anbieter. Wir verwenden ESXi 6.0. Der Server hat eine einzelne öffentliche IP, die derzeit für die Verwaltungsschnittstelle verwendet wird. Der Anbieter hat uns außerdem einen /29-Block zugewiesen, damit unsere VMs öffentliche IPs haben können. Wir können nur 1 physische Netzwerkkarte verwenden, was meiner Meinung nach einige der Probleme verursacht.
Sie haben uns gesagt, dass das Standard-Gateway der IPs aus diesem Block auf die IP des ESXi-Servers eingestellt werden sollte. Immer wenn wir versuchen, dies zu konfigurieren, beschweren sich VMs, dass sich das Gateway in einem anderen Subnetz befindet, was auch der Fall ist.
Sie haben darauf hingewiesen, dass wir aufgrund der Konfiguration ihres Netzwerks alle IPs aus dem Block, den sie uns zugewiesen haben, über die IP des ESXi-Servers routen müssen. Soweit ich weiß, unterstützt ESXi kein Routing, was dies unmöglich macht.
Wir haben gefragt, ob sie diesen Block (oder auch nur eine einzelne IP) dem Server zuweisen können, sodass sie mit der ESXi-IP identisch sind und wir sie auf VMs verwenden können. Sie haben uns jedoch mitgeteilt, dass ihre Netzwerkkonfiguration dies nicht zulässt.
Im Idealfall möchten wir unseren VMs diese öffentlichen IPs zuweisen können, damit sie direkt über das Internet erreichbar sind. Gibt es eine Möglichkeit, dies zu tun? Übersehen wir etwas?
Wenn das oben Genannte nicht möglich ist, gibt es für uns eine Möglichkeit zur Portweiterleitung/etwas anderes, sodass wir unsere VMs über das Internet erreichen können?
Wir haben keine Netzwerkkonfiguration in ESXi geändert, daher haben wir immer noch nur einen einzigen vSwitch, an den sowohl das Verwaltungsnetzwerk als auch das VM-Netzwerk angeschlossen sind. Dieser vSwitch ist an eine einzige physische Netzwerkkarte auf dem Server angeschlossen, der alle IPs zugewiesen sind.
Gerne stellen wir Ihnen bei Bedarf weitere Informationen zur Verfügung.
Antwort1
Ihr Hosting-Anbieter (Hetzner, schätze ich?) hat Recht.
Sie müssen der VMK-Schnittstelle Ihres VMware-Servers eine einzelne statische IP-Adresse zuweisen. Dadurch können Sie über die VMware-Konsole eine Verbindung zum Server herstellen und VMs erstellen.
Ihr Hosting-Anbieter sollte in der Lage sein, Ihr /29-Subnetz an die MAC-Adresse des Servers weiterzuleiten.
Sie verfügen außerdem über einen einzelnen vSwitch (ich würde ihn der Einfachheit halber in „Public“ umbenennen), der innerhalb von vSphere konfiguriert ist und an Ihre physische Netzwerkkarte angeschlossen ist.
Sie müssen einen zweiten vSwitch erstellen (aus Gründen der Vernunft empfehle ich, ihn „Privat“ zu nennen), der an keine physischen Netzwerkschnittstellen angeschlossen ist.
Sobald diese beiden vSwitches eingerichtet sind, können Sie eine virtuelle Maschine mit zwei vNICs erstellen - eine in jedem vSwitch. Verwenden Sie ein beliebiges "Router"-Betriebssystem (normalerweise so etwas wieipfireoderpfSensereicht aus) und konfigurieren Sie es für die NAT-Paketübermittlung zwischen Ihren WAN- (öffentlichen) und LAN- (privaten) vSwitches.
Um Ihre /29-IP-Adressen zu verwenden, müssen Sie VMs erstellen, die an Ihren privaten vSwitch angeschlossen sind, und dann bei Bedarf eine NAT-Portweiterleitung durchführen.
Antwort2
Ich würde wirklich,WirklichIch rate Ihnen dringend, Ihre ESXi-Verwaltungsschnittstelle nicht direkt ins Internet zu stellen. Ihre einzige Sicherheitskontrolle ist dann Ihr Passwort, das Ihnen alle Schlüssel zum Königreich gibt.
Ich würde vorschlagen, dass Sie einen Unified Threat Manager (UTM) wie pfsense oder Untangle als Router mit einer öffentlichen IP-Adresse installieren. Ihr Netzwerk würde dann folgendermaßen aussehen:
Internet ---> VSWitch1 ---> UTM ---> VSwitch2> --- Virtual Machines
Wo:
- VSSwitch1ist mit einer realen Netzwerkkarte verbunden, die mit dem Internet verbunden ist
- UTMist mit VSSwitch1 (mit einer Ihrer öffentlichen 29-Bit-IP-Adressen) und VSwitch2 (mit einer privaten IP-Adresse) verbunden
- VSwitch2ist nicht mit echten Netzwerkkarten verbunden
- Virtuelle Maschinensind alle mit den Netzwerkkarten verbunden und haben private IP-Adressen (wie 192.168.0.0/24 oder 10.0.0.0/8)
Mit dieser Konfiguration verwenden Sie die UTM, um NAT durchzuführen, damit Ihre virtuellen Maschinen Zugriff auf das Internet haben (und umgekehrt, bei Bedarf über Portweiterleitung). Diese UTMs verfügen über Firewall-Funktionen, IPS-Funktionen und alle wichtigen Funktionen zum Schutz Ihres Netzwerks.
Für den ESXI-Zugriff würde ich Ihnen tatsächlich empfehlen, ein VPN zu Ihrem privaten Netzwerk einzurichten. Platzieren Sie Ihren VMKernel im privaten Netzwerk (z. B. 192.168.0.101/24). Auf diese Weise authentifizieren Sie sich mit Ihrem VPN und Ihr gesamter Datenverkehr wird verschlüsselt. Das VPN ist eine Funktion der UTMs, die ich erwähnt habe.
Plus! Bonus! Sie sind kostenlos und Open Source :-)
Wenn Sie direkten Internetzugriff auf Ihren ESXI benötigen, würde ich dennoch empfehlen, zumindest eine Firewall/NAT zwischen Ihrem ESXI und dem Internet zu platzieren, da Sie andernfalls auf die [nicht vorhandenen] Sicherheitsfunktionen des ESXi angewiesen sind.